GitHub a corrigé une grave vulnérabilité de sécurité, rapporté par les chercheurs de Google Project Zero il y a environ trois mois. La faille a affecté la fonctionnalité Actions de GitHub, un outil d'automatisation du flux de travail des développeurs, et a été découvert par Felix Wilhelm.
Selon les propres mots du chercheur, le bogue était très sensible aux attaques par injection, bien que GitHub ait soutenu que c'était modéré. Google a publié des détails sur la vulnérabilité 194 jours après le rapport initial.
En savoir plus sur la vulnérabilité des attaques par injection de GitHub
Project Zero divulgue généralement des informations sur les failles dans 90 jours après le rapport original. Il est à noter qu'en novembre 2, GitHub avait dépassé la période. Peu de temps avant la fin du délai de divulgation prolongé, GitHub a déclaré qu'il ne désactiverait pas l'outil vulnérable et a demandé une extension de 48 heures.
Pendant ces heures, GitHub avait l'intention d'informer ses clients du problème et de définir une date pour le résoudre à l'avenir. Suite à ces événements, Google a rendu public la vulnérabilité, 104 jours après le rapport initial.
La bonne nouvelle est que GitHub a finalement corrigé le bogue la semaine dernière, suivant les conseils de Wilhelm pour désactiver les anciennes commandes d'exécution de l'outil - set-env et add-path.
Le gros problème avec cette fonctionnalité est qu'elle est très vulnérable aux attaques par injection. Au fur et à mesure que le processus d'exécution analyse chaque ligne imprimée sur STDOUT à la recherche de commandes de flux de travail, chaque action Github qui imprime un contenu non approuvé dans le cadre de son exécution est vulnérable. Dans la plupart des cas, la possibilité de définir des variables d'environnement arbitraires entraîne l'exécution de code à distance dès qu'un autre workflow est exécuté, dit Wilhelm dans son rapport de bogue original.
Peu dit, la possibilité de définir des variables d'environnement arbitraires pourrait conduire à l'exécution de code à distance. L'attaque peut se produire une fois qu'un autre workflow est exécuté, le chercheur a expliqué. Wilhelm a maintenant confirmé que le bogue de GitHub est enfin corrigé.
En Octobre, GitHub a ajouté une fonctionnalité d'analyse de code pour détecter les vulnérabilités de sécurité. La fonctionnalité a été annoncée pour la première fois lors de la conférence GitHub Satellite. Premier disponible pour battre les testeurs, la fonctionnalité a maintenant été utilisée plus de 1.4 des millions de fois 12,000 référentiels. À la suite des scans, plus que 20,000 les vulnérabilités ont été identifiées. Les failles de sécurité découvertes incluent l'exécution de code à distance, Injection SQL, et problèmes de script intersite.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: